RGPD: No evaluar riesgos RGPD de hacer un pantallazo y compartirlo vulnerando confidencialidad supone sanción AEPD a aseguradora de 200.000€

¿Podía ALLIANZ evitar la captura de pantalla y con ello la dura sanción?

La sanción, un tanto desproporcionada a nuestro entender, es por una doble infracción:

• 5.1 f) del RGPD, respecto a la vulneración del principio de confidencialidad impone 140.000€
• 32 del RGPD, respecto a las medidas insuficientes de seguridad con 60.000€

Destacar que finalmente paga 160.000€ haciendo uso de 1 de las 2 reducciones previstas (20%), es decir, sin el reconocimiento de responsabilidad.

Una vez más vemos como siempre se pueden adoptar medidas de seguridad que mitiguen el riesgo, en este caso el riesgo de vulnerar el deber de confidencialidad.

No obstante, veremos como nuevamente la mala actuación de un empleado no impide una sanción de la AEPD pese a que la empresa acredite haber formado e informado a sus empleados de sus deberes en el ámbito de protección de datos personales.

Aunque luego comentaremos, la cuestión es que, si en vez de un pantallazo hubiese realizado una foto con su móvil, se hubiese vulnerado la confidencialidad, es decir, con el mismo resultado, pero sería interesante saber si en ese caso la sanción hubiese sido a la empresa o al trabajador.

El origen de la denuncia:

En un proceso de divorcio, la exesposa quería probar que su exesposo era titular de una póliza de un coche y para ello obtiene un pantallazo de la misma facilitada por una empleada amiga suya.

Dicho pantallazo supuso la filtración de datos personales del reclamante: número de póliza, matrícula de vehículo, así como nombre y apellidos, es decir, una comunicación no autorizada a su expareja sin su consentimiento

La parte reclamante proporciona las capturas de pantalla como evidencias de la filtración de información.

De entre las pruebas aportadas por la empresa ante las peticiones de la Agencia destacar, de manera resumida:

1. Logra acreditar que la empleada causante de la incidencia estaba autorizada a acceder los datos para el desarrollo de sus funciones
2. La empresa aporta los códigos y normas internas, de aplicación a todos los empleados donde se recogen las instrucciones para garantizar la confidencialidad de los datos personales de sus clientes
3. Aporta como evidencia el historial de las formaciones realizadas por la empleada.
4. Respecto a los Informes técnicos o recomendaciones elaborados por el Delegado de Protección de Datos respecto del incidente ocurrido destacar 2 conclusiones:
   • Que las medidas previas eran suficientes para evitar futuras brechas similares
   • Siendo conscientes que “tal y como ha reconocido el Comité Europeo de Protección de Datos en el caso núm. 8 de su Guía 1/2021 sobre ejemplos en relación con la comunicación de brechas de datos adoptada el 14 de enero de 2021, este tipo de brechas son las más difíciles de evitar por parte de los responsables del tratamiento.”

Respecto a las medidas implementadas por la Compañía para evitar que se produzcan incidencias similares, ALLIANZ dice que ha impulsado una medida que tenía previsto llevar a cabo, consistente en enviar a todos los empleados de la Compañía un catálogo de las principales conductas de riesgo en materia de protección de datos y prohibidas por la misma en la que se incluirá el presente supuesto.

De manera resumida que hizo bien y que hizo mal:

1. ALLIANZ reconoce que los datos personales fueron extraídos y filtrados por una empleada suya, que por sus funciones si tenia acceso a dichos datos.
2. Pese a que las alegaciones acreditan diligencia de la empresa en cuanto a información/concienciación/formación de sus empleados, si hubo una medida de seguridad inadecuada al riesgo ya que reconoce que no hay trazabilidad de accesos, y de esa falta de trazabilidad se deduce una falta medidas de seguridad
3. Se extrajo un pantallazo de la aplicación, pese a que hay aplicaciones que impiden la captura de pantallazos de las aplicaciones para evitar un posible filtrado de información.
4. El Delegado de Protección de Datos elaboró un informe respecto del incidente ocurrido, concluyendo la necesidad de comunicar la brecha de confidencialidad a la Agencia, que fue comunicada

En definitiva, fue fuertemente sancionada pese a que ha quedado acreditado que la filtración fue realizada por la empleada de forma intencionada y a sabiendas de su ilicitud estando legitimada por sus funciones a tener acceso a dicha póliza.

Destacar los agravantes aplicados por la Agencia:

1. Artículo 83.2 e) RGPD: “toda infracción anterior cometida”. El 10 de mayo de 2021 se impuso a la parte reclamada una sanción de 30.000€, por realizar un tratamiento ilegítimo de los datos personales, en el PS/00123/2021
2. Artículo 76.2 b) LOPDGDD:” La vinculación de la actividad del infractor con la realización de tratamientos de datos personales”. La actividad de la entidad reclamada exige un continuo y elevado volumen de tratamiento de datos personales.

¿Y si en lugar de pantallazo hubiese hecho una foto desde su móvil? ¿Puede la empresa trasladar la responsabilidad a su empleado?

Como ya adelantábamos al inicio, es evidente que nada puede impedir que en vez de capturar la pantalla se haga una foto con su teléfono móvil, si bien, en ese caso, la responsabilidad directa conforme a la normativa de protección de datos respecto del tratamiento se podría trasladar al empleado.

En este caso, deberá presentar todas las `pruebas ya aportadas que entendemos son suficientes para que disciplinariamente la empresa pueda adoptar medidas laborales contra el trabajador ya que saltarse a la torera las instrucciones que como trabajadores nos son comunicadas y reforzadas mediante formación específica para “ayudar” a una amiga, no puede ser más que sancionado.

Enlace a la resolución de fecha 10/06/2024

Artículo publicado por:

Rafael Varela
EUROVIMA CONSULTING